1. Livres & vidéos
  2. Sécurité informatique
  3. Les objets connectés et embarqués
Extrait - Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (7e édition)
Extraits du livre
Sécurité informatique Ethical Hacking : Apprendre l'attaque pour mieux se défendre (7e édition) Revenir à la page d'achat du livre

Les objets connectés et embarqués

La communication sans fil

1. Présentation

La transmission d’informations numériques est de plus en plus présente dans la vie quotidienne des personnes. Avec cette évolution, des contraintes apparaissent, car les données transmises peuvent être critiques du point de vue de la sécurité ou sur un plan personnel.

Pour répondre aux exigences actuelles, les communications doivent être fiables, sécurisées, rapides et pratiques. Deux grandes technologies s’affrontent pour répondre à ces contraintes :

  • Les liaisons câblées (cuivre, fibre optique...).

  • Les liaisons radio (Wi-Fi, Bluetooth…).

Pour l’aspect pratique, le choix se porte bien entendu sur les liaisons sans fil qui permettent, comme leur nom l’indique, d’éviter de brancher un câble pour transmettre des informations.

L’inconvénient est qu’une transmission radio peut être écoutée par n’importe quels récepteurs légitimes ou pirates. Des personnes ayant très peu de connaissances jusqu’à des spécialistes peuvent compromettre des communications radio avec du matériel simple trouvé tout fait sur Internet ou des appareils sophistiqués et performants réservés aux professionnels (si l’on accepte d’appeler professionnels des pirates de haut niveau).

Dans l’expansion croissante des communications sans fil, on trouve tous les moyens de communication classiques comme le téléphone portable, le Wi-Fi, etc. Mais un domaine particulier prend une place de plus en plus importante : l’IoT (Internet of Things : les objets connectés à Internet).

2. Les objets connectés

Ces objets deviennent un vaste sujet. La grande mode actuelle est de connecter tous les accessoires qui nous entourent. Mais qu’appelle-t-on un IoT ? Un objet qui possède à l’origine une fonction simple et précise et à qui l’on ajoute la possibilité d’envoyer des informations numériques à un équipement informatique.

Les exemples sont nombreux. De l’application simple, parfois farfelue, à l’application qui amène véritablement un plus, les concepteurs ne manquent pas d’imagination. Cette...

Les objets connectés et les failles matérielles

1. Introduction

L’auteur de cette section sur les objets connectés a travaillé dans la conception de produits IoT (Internet des objets) orientés énergétique, ainsi que dans l’interconnexion de produits industriels et de gestion technique de bâtiments.

Force est de constater que les systèmes industriels possèdent des bus terrain sans aucune sécurité physique : les bus propriétaires à base de RS232 ou RS485. D’autres en modbus ou profibus sont facilement sniffables avec une sonde à moins de 10 €, présentée plus loin ; d’autres sont totalement accessibles directement depuis le réseau : modbus TCP/UDP, bacnet. Il est donc possible d’utiliser les outils vus dans le chapitre Les failles réseau tels que Wireshark ou Ettercap afin de détourner ces protocoles. Mais cela n’est plus vraiment du domaine matériel.

Cette expérience a permis de constater que, même de nos jours, il est difficile de sortir un produit sécurisé ! Non pas qu’il n’y ait pas de solution de sécurisation, mais implémenter cette sécurité est souvent impossible. La vision des actionnaires est clairement d’économiser sur les budgets ; la sécurité est soit considérée comme un atout marketing, soit totalement oubliée.

Pire, la stratégie est souvent de « brider » le produit, de ne pas le rendre communicant, et plutôt de dépenser l’argent de cette sécurité en avocats et brevets.

En réalité, il est très souvent possible de modifier le comportement d’un appareil afin de répondre plus précisément aux besoins.

Qui dit hack matériel dit outillage « physique ». Nous allons présenter ici quelques outils indispensables suivant le niveau et surtout suivant le budget que vous souhaitez y consacrer.

2. L’outillage de base

a. Lot de tournevis

Ceci est votre sésame pour accéder aux entrailles des équipements. Certains équipements vont demander des têtes non standardisées afin d’éviter que les petits bidouilleurs que nous sommes...

La sécurité des box

1. Introduction

Les box sont arrivées sur le marché français en 2002, le premier opérateur à en commercialiser est Free qui sera suivi par Neuf Télécom (désormais propriété de Altice/SFR), par Orange avec sa Livebox et par Bouygues avec sa Bbox.

Dès les premières versions elle permettait un accès Triple Play (Internet, Téléphone, TV) incluant de base ou en option l’accès internet en Wi-Fi.

Désormais toutes les box incluent par défaut le matériel nécessaire à ces services. Cependant de nouvelles offres « Internet Seulement » sont arrivées sur le marché qui n’incluent plus ces services. De nouvelles fonctionnalités ont fait leur apparition comme le stockage de données (NAS), le contrôle de la maison (Domotique) incluant des fonctionnalités d’alarme, voire le support de machines virtuelles.

La box est désormais le cœur de votre réseau domestique, elle fait l’interface entre le domaine public "Internet" et votre réseau local.

La sécurité de cet équipement est essentielle : de nombreuses vulnérabilités ont été recensées ces dernières années, exposant les utilisateurs à des menaces de plus en plus nombreuses.

Nous verrons dans cette section le fonctionnement de base d’une box, ses faiblesses, les bonnes pratiques à adopter ainsi que ce qui tourne à l’intérieur et même les solutions pour accéder à vos services sans box.

2. Les fonctionnalités d’une box

a. Routeur

Les box actuelles disposent toutes de la fonction routeur, qui est activée par défaut pour la majorité d’entre elles.

Ce mode permet de connecter plus d’un périphérique derrière votre box et permet également de renforcer la sécurité.

Dans cette configuration, la box s’occupe de router les communications entre vos équipements et Internet. Pour cela, la box utilise en IPv4 le NAT (Network Address Translation). Ce mécanisme permet à plusieurs machines d’accéder à Internet avec une seule adresse IPv4 publique. Pour l’accès...